Les développeurs du projet Optimism, dédié à la mise à l'échelle d'Ethereum, ont annoncé la découverte d'un bug critique qui permettait la création d'un nombre arbitraire de jetons de cette crypto-monnaie. Pour le moment, cette possibilité a été éliminée et une récompense record a été versée pour la découverte du bogue.
La vulnérabilité, en théorie, permettait aux attaquants de créer autant d'Ethereum dans un compte Optimism qu'ils le souhaitaient - cela a été découvert par le hacker blanc Jay Freeman, qui est surtout connu comme le développeur du logiciel de piratage Cydia iOS.
Dans un article, Freeman a expliqué que le bogue permettait à un attaquant de dupliquer de l'argent en utilisant le fork Optimistic Virtual Machine (OVM) 2.0 de l'outil Go Ethereum. Pour sa découverte, Freeman a reçu la plus grande récompense de l'histoire des "chasseurs de primes" - 2 000 042 $. Selon l'équipe Optimism, le bogue a permis de créer Ethereum sur leur plate-forme en exécutant à plusieurs reprises le code d'exécution SELFDESTRUCT pour reconstituer le solde.
Le blog Optimism mentionne que l'analyse de la blockchain a montré que le bug n'avait pas été exploité auparavant, à l'exception d'une activation accidentelle par un employé de la startup Etherscan, mais il n'a pas utilisé les opportunités qui se présentaient. Le problème a été résolu par Optimism quelques heures après avoir été confirmé.
À la fin de l'année dernière, Optimism a abandonné la "liste blanche", permettant à tout développeur de construire des projets sur son réseau. Avant cela, il n'était disponible que pour des projets spéciaux comme Uniswap et Synthetix. Cette limitation a facilité la reconnaissance et l'élimination des bogues potentiels.
Optimism est une solution de mise à l'échelle de couche 2 pour le réseau Ethereum, exécutant des transactions sur la chaîne externe, en dehors du réseau Ethereum principal. Cela a notamment un effet très bénéfique sur la rapidité et le coût des transactions. Dans le même temps, la découverte d'un bogue a montré que les protocoles de couche 2 sont plus vulnérables aux interférences externes.
Alors que la prime de Freeman est l'une des plus importantes de l'histoire, MakerDAO a déjà annoncé qu'il offrirait une récompense pouvant atteindre 10 millions de dollars pour la découverte de vulnérabilités critiques dans ses contrats intelligents.
2022-02-14 15:23:50
Auteur: Vitalii Babkin